O Processo de Gestão de Riscos do COSO

O modelo publicado pelo COSO é representado por uma matriz tridimensional, em forma

de cubo (figura 1.4), na qual se verifica a existência de uma relação entre os componentes,

as categorias de objetivos empresariais e a estrutura organizacional, cujos itens

representam a amplitude de aplicação do modelo.

Figura 1.4 – Representação da matriz tridimensional do COSO – ERM

Fonte: Adaptado da Estrutura Integrada de Gestão de Riscos Empresariais do COSO

1. AMBIENTE INTERNO

O cerne de qualquer negócio são os recursos humanos (especificamente os atributos

referentes à integridade, valores éticos e competência) e o ambiente em que estes operam.

O ambiente interno determina a forma como o risco, o respetivo grau de tolerância e o

Sistema de Controlo Interno (SCI) são percecionados pela organização, constituindo a

base para todos os outros componentes da gestão de riscos.

OAMBIENTE INTERNO

INFLUENCIA A FORMA

COMO:

 A estratégia e os objetivos são definidos;

 As atividades são estruturadas, desenhadas e realizadas;

 Os riscos são identificados, avaliados e geridos;

 Os sistemas de informação e comunicação são desenhados e

funcionam;

 As atividades de monitorização são desenhadas e realizadas.

A filosofia de gestão de riscos consiste nas convicções, opiniões e atitudes e carateriza-

se na forma como a organização perceciona o risco em todas as suas atividades, desde o

desenvolvimento e implementação da estratégia às suas atividades quotidianas. Reflete

os valores organizacionais, influenciando a sua cultura e estilo operacional e afeta a forma

como os componentes da gestão de riscos são aplicados, e como os riscos são

identificados, aceites e geridos. Esta filosofia deverá repercutir-se por toda a organização,

veiculada através de políticas, informações verbais ou escritas e na tomada de decisões.

O apetite pelo risco determina o nível de risco que uma entidade se predispõe a aceitar

para atingir os seus objetivos, e é considerado ao estabelecer a estratégia institucional,

podendo ser definido em termos qualitativos ou quantitativos.

2. DEFINIÇÃO DE OBJETIVOS

O facto de as organizações enfrentarem uma variedade de riscos, com origem em fontes

internas ou externas, determina a definição de objetivos como pré-condição à

identificação, avaliação e resposta adequada aos riscos.

Os objetivos definidos a nível estratégico estabelecem a base para a definição dos

objetivos operacionais, de reporte e de conformidade, os quais deverão estar alinhados e

ser consistentes com o nível de apetite pelo risco definido pela organização.

No quadro 1.6 descrevem-se os tipos de objetivos presentes na matriz do COSO–ERM.

Quadro 1.6 – Definição de objetivos organizacionais

OBJETIVOS

DESCRIÇÃO

Estratégicos

Objetivos de alto nível alinhados com a missão e visão da organização

Operacionais

Objetivos relacionados com a eficácia e eficiência das operações, que constituem

uma referência na alocação dos recursos

Reporte

Objetivos relacionados com a preparação de reportes internos ou externos

contendo informação fiável, de natureza financeira ou não financeira

Conformidade

Objetivos relacionados com o cumprimento de legislação e regulamentação aos

quais a organização se encontra sujeita

3. IDENTIFICAÇÃO DOS RISCOS

Deverão ser identificados, de forma contínua e interativa, os eventos de origem externa e

interna que, caso ocorram, possam comprometer, positiva ou negativamente, a

implementação da estratégia e a concretização dos objetivos da organização. A eficácia

da gestão de riscos depende, em larga medida, da capacidade da organização desenvolver,

continuamente, o processo de identificação dos riscos, nomeadamente, através de

atualizações periódicas aquando da deteção de novos riscos ou da sua erradicação.

De um modo geral, a identificação dos riscos constitui uma fase crucial, formando a base

da avaliação de riscos e assegurando que a estes seja atribuída uma resposta adequada.

A identificação de riscos poderá, na sua metodologia, empregar uma combinação de

técnicas. As técnicas de identificação de riscos deverão considerar quer eventos passados,

quer eventos que possam vir a ocorrer no futuro. No que concerne a eventos passados

deverão ser consideradas questões como o comportamento da organização, dos seus

clientes ou do mercado. As técnicas cujo foco recai sobre eventos futuros deverão

considerar questões concernentes a alterações nas caraterísticas demográficas, novas

condições de mercado ou ações concorrenciais.

A título de exemplo, algumas das técnicas para identificação de riscos poderão consistir

em reuniões e entrevistas com os responsáveis dos Serviços ou demais colaboradores, no

desenho e análise do fluxo dos processos, na realização de avaliações de situações

adversas ocorridas em entidades congéneres, ou, ainda, a consulta de listagens que

forneçam informação sobre riscos específicos do setor de atividade.

4. AVALIAÇÃO DOS RISCOS

O horizonte temporal utilizado para a avaliação dos riscos deverá ser consistente com o

da estratégia e dos objetivos da organização. Os riscos identificados são avaliados de

acordo com a sua probabilidade de ocorrência e impacto previsto, sendo a primeira

representativa da possibilidade ou da respetiva frequência da ocorrência de determinado

evento e a segunda representativa do seu efeito.

Os riscos devem, ainda, ser classificados numa perspetiva de risco inerente e risco

residual, sendo o primeiro aquele que existe antes de ser considerada qualquer resposta

ao risco e o segundo aquele que permanece após a implementação de respostas ao risco,

nomeadamente, através da implementação de controlos que visem reduzir a probabilidade

inicialmente tendo em consideração os riscos inerentes e, após a definição e

implementação de respostas ao risco, efetuada para os riscos residuais.

O quadro 1.7 estabelece os critérios de classificação das duas variáveis do risco.

Quadro 1.7 – Critérios de classificação do risco

IMPACTO PREVISTO

PROBABILIDADE DE OCORRÊNCIA

Baixo

Os possíveis impactos financeiros ou outros não

são considerados materialmente relevantes nem

os danos provocados comprometem a eficácia

ou eficiência das operações ou a imagem da

organização.

Baixa

Atendendo à natureza da atividade ou à

eficácia/adequação das medidas de controlo, a

possibilidade de ocorrência de determinado evento

ou a frequência com que este possa ocorrer, num

determinado período, é relativamente baixa.

Médio

O risco identificado pode comportar prejuízos

financeiros ou outros e afetar o funcionamento

dos Serviços e os objetivos de gestão, podendo

comprometer a eficiência e a eficácia dos

processos.

Média

A probabilidade de ocorrência de determinado

evento de risco é classificada como média, quando

o processo seja executado ocasionalmente e o

respetivo

controlo

interno

não

se

revele

suficientemente eficaz.

Alto

O risco identificado pode resultar em prejuízos

financeiros materialmente relevantes ou outros

de impacto significativo, comprometendo a

eficiência e a eficácia dos processos e colocando

em causa o cumprimento da missão da

organização e a sua imagem.

Alta

A probabilidade de ocorrência ou de frequência de

um evento de risco é considerada alta quando a

natureza da atividade apresenta essa caraterística,

ou quando isolada ou cumulativamente, as medidas

de controlo introduzidas, se revelem inadequadas

ou ineficazes.

Fonte: Elaboração própria

O risco é classificado utilizando uma grelha bidimensional, em cujos eixos figuram o

impacto previsto e a probabilidade de ocorrência, conforme figura 1.5.

Figura 1.5 – Matriz de classificação dos riscos

CLASSIFICAÇÃODORISCO = I

MPACTO

P

REVISTO X

P

ROBABILIDADE DE

O

CORRÊNCIA

A avaliação da probabilidade e do impacto do risco poderá ser realizada através de

métodos qualitativos e/ou quantitativos, de forma individual ou por categorias, tendo por

base um horizonte temporal. Por regra, quando não existe informação suficiente ou

quando os riscos são difíceis de quantificar, opta-se pela utilização de métodos

qualitativos. Porém, os métodos quantitativos apresentam uma maior precisão, sendo

utilizados, normalmente, em atividades mais complexas ou como complemento.

5. RESPOSTAS AOS RISCOS

Após conduzir um processo de avaliação dos riscos, a organização deverá determinar uma

resposta adequada, no sentido de evitar, partilhar, reduzir ou aceitar esses riscos,

considerando o processo em causa e o efeito sobre a probabilidade de ocorrência e o

impacto previsto, assim como os custos e benefícios subjacentes à opção tomada, de

forma a manter os riscos residuais, após a efetivação das medidas de controlo, dentro de

um limite aceitável. Esta decisão poderá ser auxiliada pela aplicação de um conjunto de

estratégias, como as apresentadas no quadro 1.8.

Quadro 1.8 – Respostas aos riscos

RESPOSTA

DESCRIÇÃO

Evitar

Eliminar a causa ou descontinuar as atividades que geram o risco, nomeadamente através

da desistência de uma linha de produtos, do recuo na expansão para novos mercados

geograficamente dispersos, ou da venda de uma unidade de negócio.

Partilhar

Reduzir a probabilidade de ocorrência ou impacto previsto, transferindo ou partilhando

parte do risco com terceiros, através, designadamente, da aquisição de apólices de

seguros ou do recurso a outsourcing.

Reduzir

Adotar medidas que reduzam a probabilidade de ocorrência ou o impacto previsto, ou

ambos.

Aceitar

Nenhuma ação é adotada no sentido de influenciar a probabilidade de ocorrência ou o

impacto previsto.

Fonte: Adaptado da Estrutura Integrada de Gestão de Riscos Empresariais do COSO

Se por um lado, um risco classificado como baixo não exige grandes considerações, por

outro, um risco classificado como alto exigirá uma resposta mais eficaz e célere,

concretizada, nomeadamente, através do direcionamento dos recursos. As circunstâncias

situadas entre esses extremos são, geralmente, difíceis de gerir.

Caso a resposta passe pela redução do risco, carece que seja efetuada análise ponderada

ao peso relativo que cada uma das variáveis tem na sua classificação. Por conseguinte,

será expectável, que as medidas de controlo a introduzir permitam reduzir o risco para

um nível aceitável através da mitigação da variável de maior significado.

A figura 1.6 apresenta, esquematicamente, um conjunto de possíveis estratégias de

resposta aos riscos de acordo com a classificação obtida para cada uma das variáveis.

Figura 1.6 – Possíveis estratégias de resposta aos riscos

Fonte: Elaboração própria

6. ATIVIDADES DE CONTROLO

Na gestão de riscos empresariais, os controlos internos são os mecanismos utilizados para

atenuar ou reduzir as exposições ao risco de uma organização (Hardy, 2015).

Idealmente, quando os riscos são identificados, devem ser encetados todos os esforços no

sentido de se lhe emparelharem controlos internos específicos com vista à sua mitigação.

No mínimo, como boa prática, dever-se-ão associar controlos internos específicos aos

maiores riscos a que a organização está exposta (Hardy, 2015).

Na opinião de Cendrowski & Mair (2009) os controlos só se justificam na medida em que

sirvam um propósito, i.e., a diminuição de exposição aos riscos, reduzindo a

probabilidade de ocorrência de eventos, a frequência da sua ocorrência, ou o impacto das

consequências causadas. A exposição é o impacto da consequência (geralmente expresso

em termos financeiros) multiplicado pelo número de incidentes que possam ocorrer.

O controlo interno é uma componente essencial da gestão de riscos, alavancando a

mitigação dos riscos para níveis tolerados e funcionando como salvaguarda da retidão na

tomada de decisões, prevenindo a ocorrência de erros e irregularidades, ou minimizando

as suas consequências. Os controlos devem estar disseminados por todos os níveis

organizacionais, podendo compreender, designadamente, procedimentos relacionados

com a segregação de funções, revisões, reconciliações ou aprovações.

Os controlos constituem uma parte fundamental no processo pelo qual a organização tenta

atingir os seus objetivos. Embora os controlos se relacionem, geralmente, com um

determinado tipo de objetivos, permitem, por vezes, a concretização de outro tipo de

objetivos, isto é, a título de exemplo, controlos sobre operações poderão também

assegurar quer a fiabilidade do reporte, quer a conformidade com leis e regulamentos.

De acordo com Morais e Martins (2007, p. 31), “qualquer sistema de controlo interno

deve incluir os controlos adequados, podendo classificar-se” de acordo com os tipos

apresentados no quadro 1.9:

Quadro 1.9 – Tipificação dos controlos

CONTROLOS

DESCRIÇÃO

Preventivos

Visam impedir que factos indesejáveis ocorram, sendo considerados controlos

a priori.

Detetivos

Permitem detetar factos indesejáveis que já tenham ocorrido, sendo

considerados controlos a posteriori.

Diretivos/Orientativos

Servem para provocar ou encorajar a ocorrência de um facto desejável.

Corretivos

Possibilitam a retificação de problemas identificados.

Compensatórios

Permitem compensar eventuais fraquezas de controlo noutras áreas da

organização.

Fonte: Adaptado de (Morais & Martins, 2007, p. 31)

O controlo interno deverá assentar num conjunto de medidas que assegurem o

cumprimento dos objetivos institucionais, assumindo, por exemplo, as seguintes formas:

a) Manuais de controlo interno e regulamentos atualizados e dinâmicos que contenham

a descrição e desenho funcional dos procedimentos internos;

b) Controlo hierárquico regular e focado nas atividades internas de cada Serviço;

c) Divulgação oportuna de normativos organizacionais:

 Regulamento Interno;

 Código de Ética;

 Plano de Gestão de Riscos;

 Circulares Internas.

d) Atualização da legislação e regulamentação de enquadramento à atividade.

7. INFORMAÇÃO E COMUNICAÇÃO

O processamento e a filtragem de grandes volumes de informação, proveniente quer de

fontes internas, quer de fontes externas, apresenta-se como um dos maiores desafios à

avaliada e comunicada de forma e no prazo que, permitam aos vários níveis responder

efetivamente aos riscos. Dito de outra forma, para que seja ultrapassado aquele desafio, a

informação pertinente deverá fluir de forma correta, com a complexidade necessária,

dirigida às pessoas certas e na ocasião oportuna.

ACOMUNICAÇÃO DEVE

OCORRER DE FORMA A

PERMITIR TRANSMITIR,

EFICAZMENTE:

 A estratégia e os objetivos institucionais;

 A importância e a pertinência da gestão de riscos;

 O nível de tolerância dos riscos;

 Uma linguagem comum no que concerne à gestão de riscos;

 A definição das funções e responsabilidades das direções e

colaboradores na gestão de riscos.

A comunicação também deve ocorrer de fora da organização, através de canais por onde

clientes/utentes e fornecedores possam facultar informação significativa acerca da

qualidade dos produtos/serviços, possibilitando, assim, a perceção de riscos que, de outra

forma, passariam despercebidos e adaptando a oferta às suas exigências ou preferências.

8. MONITORIZAÇÃO

O processo de gestão de riscos, na sua globalidade, deverá ser monitorizado, ajustando-o

sempre que necessário, pois os objetivos ou a estratégia poderão mudar, as respostas ao

risco que antes eram efetivas poderão tornar-se irrelevantes e as atividades de controlo

poderão tornar-se menos eficazes ou deixar de ser efetuadas.

A monitorização visa assegurar que a gestão de riscos e respetivos componentes

continuam a operar de forma efetiva. Este processo envolve a avaliação da conceção e

operação dos controlos, podendo ser efetuada através de atividades contínuas dentro do

Serviço ou através de avaliações periódicas independentes realizadas pela Auditoria

Interna ou entidades externas.

As atividades de monitorização realizadas continuamente pelos Serviços, onde se

incluem, entre outras, atividades regulares de gestão e supervisão, comparações,

reconciliações e outras ações rotineiras, permitem reagir de forma mais oportuna a

possíveis alterações estruturais e processuais e de forma mais preventiva à ocorrência de

erros ou irregularidades, do que as atividades realizadas através de avaliações externas.

A monitorização dos controlos realizada, internamente, pelos Serviços, permite uma

gestão mais pró-ativa dos riscos, que aquela, resultante de avaliações externas, que se

carateriza, tendencialmente, por ser mais reativa. Por conseguinte, quanto mais amplas e

eficazes sejam as atividades realizadas internamente pelos Serviços, menor será a

necessidade da realização de avaliações externas ao Serviço. Porém, o recurso combinado

das duas formas de monitorização, permitirá à organização, aumentar a garantia de que,

ao longo do tempo, a gestão de riscos se mantém eficaz.

No documento Implementação de um modelo de gestão de risco não clinico na ULSNA, EPE (páginas 39-47)